¿Qué tan probable es que un virus se propague de una máquina virtual de Linux al host de Windows?

La virtualización está diseñada para proteger el sistema operativo host (en su caso, las ventanas) del sistema operativo invitado (Linux). Es poco probable que un virus o malware que se ejecuta en un invitado se propague directamente al host a través de la capa de virtualización. El malware debería estar diseñado específicamente para apuntar a la capa de virtualización y, de alguna manera, salir de la VM. Nunca diría que esto era imposible, pero parece un objetivo poco probable dada la complejidad de lograrlo.

Más posible es que el malware utilice la máquina invitada como base de operaciones para lanzar ataques a cualquier cosa dentro de su red.

Dependiendo de su configuración entre el anfitrión y el huésped virtual, hay varias formas en que un gusano o virus podría propagarse.

1) Red simple. - Si tiene el adaptador de red habilitado en el virtual y el host puede interactuar con él, entonces sí. Una pieza de malware que era multi-OS podría propagarse. Alternativamente, si el código malicioso se escribió en un motor multiplataforma como Java y ejecuta Java tanto en el huésped como en el host. Esto podría deberse a la configuración de la red de invitados para alojar solo, o la red de host. Técnicamente es posible con cualquier red habilitada, pero más probable con esos dos. Nat y Bridged forman la conexión a la NIC del host de manera diferente.

2) Compartir habilitado. - Tener los archivos del host o el portapapeles incluso para que pueda escribirlos el huésped puede permitir una táctica de escape o evasión. Las carpetas compartidas de VMWare tenían al menos un CVE publicado para escapar del invitado a través de la función de carpetas compartidas. 2008-0923 cuando lo busqué, pero puede haber más.

3) basado en controlador - Venom by crowdstike mostró cómo hacer un escape virtual basado en el controlador de disquete habilitado por el invitado. Puede haber vulnerabilidades similares para otros controladores.

Modificar el host del hardware desde wm

Según mi conocimiento, ahora no hay forma de alterar un nodo de hardware desde un vw (contenedor).

Pero podría estar equivocado, dependiendo de la tecnología de virtualización que se use ...

Host de hardware espía de vm

Sí, teóricamente será:

Al analizar las cargas de CPU de varios núcleos (o el tiempo de inactividad) y / o las variaciones de temperatura, una máquina virtual podría detectar lo que está sucediendo en tareas paralelas (máquina virtual o host) ...

• enlace
• enlace

Pero si su Linux se mantiene correctamente, con una contraseña segura, una política de seguridad y actualizada ...

Para mi opinión preferiré

para ejecutar Linux en el nodo Hardware, (coreos o debian), y crear al menos dos vm :

• Windows, utilizando KVM
• Linux, utilizando LXC

Es más fácil de mantener, escalar y hacer copias de seguridad, pero esta es solo mi opinión.

Pero esto no cambiará los riesgos teóricos de paralelización en CPU de varios núcleos.

¿Es posible? Sí. Uno de los los primeros Worms (una pieza de malware de autorreplicación) fue diseñado para funcionar bajo el sistema Unix. Y mientras que el malware de Windows es ciertamente más frecuente, también hay personas malas que se enfocan en Linux. Recuerde que tan pronto como una pieza de malware está en su sistema, puede descargar y ejecutar código arbitrario. Por lo tanto, un virus de Linux sin duda podría descargar un virus de Windows y ejecutarlo en otra máquina (ya sea la máquina virtual host o una máquina remota).

¿Cómo podría hacerse? Un ataque de este tipo (desde la máquina virtual hasta la máquina host) dependería de una vulnerabilidad en la capa de virtualización. Se han visto tales vulnerabilidades; este CVE documenta este caso.